Una multinacional, una llamada telefónica y 380 millones de dólares en pérdidas. No se trata del argumento de una película, sino de una cruda realidad que ha sacudido a Clorox y ha desencadenado una de las demandas más impactantes del año en el ámbito tecnológico. Todo comenzó con una simple llamada al soporte técnico, revelando una debilidad frecuentemente subestimada en la ciberseguridad: la confianza en procedimientos mal definidos y en proveedores externos poco controlados.
El escenario se desarrolló en 2023, pero sus repercusiones continúan resonando. Clorox, gigante del sector de productos de limpieza, es la víctima. El demandado es Cognizant, su proveedor de soporte técnico. La negligencia: otorgar acceso a un atacante sin las verificaciones necesarias.
La demanda presentada en California detalla cómo un actor malicioso se hizo pasar por un empleado, contactó al help desk y, sin autenticación, recibió una nueva contraseña y acceso a la red corporativa. La falta de comprobaciones permitió al intruso obtener credenciales clave y desencadenar sabotajes que paralizaron la operativa de Clorox durante semanas, resultando en pérdidas de 50 millones en remedios y cientos más por interrupciones logísticas y de producción.
El fallo no fue tecnológico; no hubo malware ni técnicas avanzadas de phishing. Fue una devastadora combinación de confianza mal ubicada y falta de control. Este episodio subraya una verdad incómoda: muchos problemas de ciberseguridad derivan de procedimientos humanos deficientes, más que de vulnerabilidades técnicas.
El protocolo de Clorox indicaba que las solicitudes de cambio de contraseña debían ser gestionadas mediante una herramienta segura y requerían verificación del solicitante. Sin embargo, esto no se aplicó, lo que resultó en una demanda de 380 millones y un daño reputacional considerable.
Este caso es un recordatorio crucial para la industria tecnológica: la ciberseguridad no solo depende de la tecnología, sino de la cultura organizacional. Externalizar servicios críticos sin la formación, auditorías y protocolos adecuados es, en efecto, como dejar las llaves debajo del felpudo. Eventualmente, alguien lo descubrirá.
Mientras la inteligencia artificial y los modelos predictivos acaparan titulares, lo que fracturó a Clorox fue la omisión de preguntas fundamentales. El atacante no necesitó un código ni exploits sofisticados; solo necesitó ser convincente. Lamentablemente, para demasiadas organizaciones, eso sigue siendo suficiente para causar estragos.
Una llamada puso en jaque a Clorox. ¿Están tus procesos preparados para enfrentar una situación similar?
